應(yīng)用編程接口（API）已經(jīng)成為了促進(jìn)不同應(yīng)用架構(gòu)之間信息交流的橋梁。API可以實(shí)現(xiàn)新服務(wù)的更快集成和部署。此外，DevOps也需要利用API實(shí)現(xiàn)端到端的流程自動(dòng)化，進(jìn)而實(shí)現(xiàn)服務(wù)開通、平臺(tái)管理和持續(xù)部署。

　　盡管可以實(shí)現(xiàn)快速廣泛的部署，但API卻仍未得到很好的保護(hù)，自動(dòng)化威脅也在增加。由于機(jī)器人程序攻擊，個(gè)人身份信息（PII）、支付卡明細(xì)和關(guān)鍵業(yè)務(wù)服務(wù)都處境堪憂。

　　身份驗(yàn)證漏洞和賬戶入侵。在請(qǐng)求來自真實(shí)用戶時(shí)，許多API就不會(huì)檢查身份驗(yàn)證狀態(tài)。攻擊者可以以不同方式利用這些漏洞，如會(huì)話劫持和賬戶聚合等，來模擬真正的API調(diào)用。攻擊者還會(huì)對(duì)移動(dòng)應(yīng)用進(jìn)行反向工程，來發(fā)現(xiàn)API是如何被調(diào)用的。如果API密鑰是嵌入在應(yīng)用中的，那么就可能發(fā)生API漏洞。API密鑰不應(yīng)該被用于用戶身份驗(yàn)證。網(wǎng)絡(luò)犯罪分子還會(huì)對(duì)入侵的用戶賬戶執(zhí)行證書填充攻擊。

　　缺乏強(qiáng)勁的加密。許多API在API客戶端和服務(wù)器之間都缺乏強(qiáng)勁的加密。攻擊者可以通過中間人攻擊來利用這些漏洞。攻擊者會(huì)攔截未加密或未受保護(hù)的API交易，來竊取敏感信息或修改交易數(shù)據(jù)。此外，由于在促進(jìn)不同Web應(yīng)用之間的互操作性上涉及到了多個(gè)網(wǎng)關(guān)，因此移動(dòng)設(shè)備、云系統(tǒng)和微服務(wù)模式的普遍應(yīng)用又進(jìn)一步復(fù)雜化了API安全。對(duì)流經(jīng)所有通道的數(shù)據(jù)進(jìn)行加密至關(guān)重要。

　　業(yè)務(wù)邏輯漏洞。API極易遭受到業(yè)務(wù)邏輯濫用。這也是為何需要專門的機(jī)器人程序管理解決方案以及為何采用對(duì)Web應(yīng)用和移動(dòng)應(yīng)用都有益處的啟發(fā)式檢測(cè)會(huì)產(chǎn)生誤報(bào)和漏報(bào)等諸多錯(cuò)誤。

　　端點(diǎn)安全性不佳。多數(shù)的IoT設(shè)備和微服務(wù)工具都被設(shè)定為通過API通道與服務(wù)器進(jìn)行信息交流。這些設(shè)備會(huì)使用客戶端證書在API服務(wù)器上對(duì)自身身份進(jìn)行驗(yàn)證。黑客會(huì)試圖從IoT端點(diǎn)獲取對(duì)API的控制權(quán)，如果他們成功了，他們就可以輕易對(duì)API序列進(jìn)行重新排序，進(jìn)而引發(fā)數(shù)據(jù)泄露。

　　為了保護(hù)API基礎(chǔ)架構(gòu)不會(huì)遭受到黑客攻擊和濫用，企業(yè)必須實(shí)現(xiàn)這9個(gè)最佳實(shí)踐。

　　Radware是為傳統(tǒng)數(shù)據(jù)中心、云數(shù)據(jù)中心和虛擬數(shù)據(jù)中心提供網(wǎng)絡(luò)安全和應(yīng)用交付解決方案的全球領(lǐng)導(dǎo)者。Radware屢獲殊榮的解決方案組合為全球企業(yè)提供了基礎(chǔ)架構(gòu)、應(yīng)用及企業(yè)IT防護(hù)服務(wù)，確保企業(yè)的數(shù)字體驗(yàn)。Radware解決方案成功幫助了全球12,500多家企業(yè)和運(yùn)營(yíng)商客戶快速應(yīng)對(duì)市場(chǎng)挑戰(zhàn)，保持業(yè)務(wù)連續(xù)性，在實(shí)現(xiàn)最高生產(chǎn)效率的同時(shí)有效降低成本。欲知詳情，請(qǐng)?jiān)L問：www.radware.com.cn